Аналіз дій користувачів через журнал подій Windows
Операційна система Windows фіксує майже кожну дію, що відбувається під час її використання. Хоча для звичайних користувачів цей журнал може не становити особливого інтересу, він є надзвичайно корисним інструментом для тих, хто займається налагодженням програм або стикається з проблемами під час запуску процесів. Якщо виникає потреба з’ясувати, який саме користувач встановив або видалив певну програму в Windows, звернення до журналу подій стане вашим найкращим рішенням. Розглянемо докладніше, як це зробити.
Для доступу до журналу подій вам необхідні права адміністратора. Щоб розпочати, клацніть правою кнопкою миші на значку “Цей комп’ютер” (або “Мій комп’ютер” у Windows 7) та виберіть пункт “Керування” з контекстного меню. У разі потреби, підтвердіть адміністративний доступ. Далі, розгорніть розділи “Системні інструменти” > “Перегляд подій” > “Журнали Windows” і виберіть “Програма”. Спочатку права панель буде порожньою, оскільки Windows буде завантажувати зареєстровані події. Може здатися, що вікно на мить “зависло”, але потрібно трохи зачекати. Після завантаження ви побачите великий перелік подій, який, звісно, неможливо проаналізувати вручну.
Зверніть увагу на крайню праву панель і натисніть на опцію “Фільтрувати поточний журнал”, розташовану в розділі “Дії”.
Відкриється вікно “Фільтрування поточного журналу”. Прокрутіть до випадаючого меню “Джерела подій” і відкрийте його. Виберіть параметр “MsiInstaller” і натисніть “Застосувати”.
MsiInstaller – це служба, що відповідає за встановлення та видалення програм в Windows. Якщо користувач встановлював або видаляв програму, ця служба обов’язково зареєструвала відповідну подію. Після застосування фільтра ви побачите список подій, що стосуються виключно дій встановлення та видалення програм. Це значно менший перелік, який легше проаналізувати. Якщо ви приблизно знаєте, коли відбувалось встановлення або видалення конкретної програми, можна задати діапазон дат у випадаючому меню “Зареєстровано” у вікні фільтра.
Оберіть потрібний запис у журналі, і на панелі нижче з’являться деталі події. Тут ви знайдете інформацію про видалену програму, дату та час видалення, а також ім’я користувача, який виконав цю дію.
Варто відзначити, що цей спосіб не є ідеальним. Не всі програми встановлюються за допомогою MsiInstaller, тому не всі дії встановлення/видалення будуть тут зафіксовані. Проте, даний метод ефективно працює в Windows 7 та пізніших версіях.
Оновлено: 8 грудня 2020 року об 11:30